如果 5545 的内部接口首先登陆 L2 边缘交换机，然后中继到 agg 交换机以获得更好的安全性，或者只是让内部直接进入 Agg 层，还要考虑到专线流量可能通过另一个接口在未来5545

由于您没有说 L2 将运行 ACL，因此我看不出有什么区别。我猜你会在内部 ASA 上运行标记到分布层。我的防火墙使用专用 vlan 直接连接到聚合交换机，该 vlan 在每组防火墙和 agg 交换机之间运行 HSRP/VRRP。

至于专线流量，我不使用 ASA，但我认为它们具有类似 IOS ZBF 的区域结构，您将阻止 VPN 流量进出专线流量，而无需经过数据包过滤。

这听起来像是指向 5540 的默认路由，您将使用更具体的路由来到达您的内部 VPN 访问池和专线地址。5545 的默认路由指向 5540，VPN 流量可以直接访问 Internet（不知道您是否在 VPN 客户端上拆分隧道）和其他路由到您的内部地址空间。

所以我看不出你的计划有任何实际问题。但我上面的一些假设可能是错误的

根据我对您的情况的了解，在同一内部子网上是否有两个不同的防火墙内部接口并不重要。在做出此决定时，您需要牢记以下几点：

1. 将它们放在同一个子网上是否会使配置更简单、更容易？
2. 如果它们以任何方式位于不同的子网上，会有帮助吗？
3. 我是否完成了正确的路由并了解任何连接场景的路径？例如，内部流量在到达目的地之前会经过哪些设备？
4. 我是否在防火墙上正确配置了所有规则以确保没有发生域间路由？这意味着属于其他设备（其他防火墙）的同一子网上的流量不会被路由。这可能是您关注的设置中最关键的事情。同样，这完全取决于您所需的交通路径。

我已经在类似的场景中部署了 ASA，并且一切顺利，经过精心规划和维护。

对于外部接口，首先使用 MD5 保护您的 OSPF 进程。您要将此接口连接到 L2 聚合交换机。

在您的内部界面上，我们可以深入研究： - 从技术上讲，您可以将其连接到 L3 交换机，这样您就可以在网络设备之间分配角色或负载，这对于常规防火墙也很有意义（如果在某些时候您遇到问题您的 L2 聚合设备，至少从底部到防火墙的网络正在工作） - 对于这种情况，因为 ASA 是 VPN 使用的，这意味着您还可以将内部连接到 L2 聚合交换机。如果没有那些 L2 聚合交换机，您的 5545 对您的网络将毫无用处。尽管如此，对于此选择，您必须考虑受监控的接口，因为所有防火墙物理接口都将连接到一个物理设备。底线：如果我有更好的逻辑和故障排除的端口和容量，我会直接从内部连接到 L3 底部交换机。

最后关于您的第一个问题：我已将内部接口用作与另一个内部防火墙的共享网络（您可能会遇到一些使用same-security-traffic命令和专用网络的细节，而不是使用底部交换机连接到其余部分的网络。

我更喜欢最后一个，因为在这种情况下，VPN L2L 过滤是在防火墙 (ASA 5545) 上完成的，而不是组策略 ACL（然后将其应用于隧道组）。它易于管理、查看、故障排除（对我而言），而且它使我远离一些 ASA 更微妙的流量发夹场景。